Ransomware SamSam po raz kolejny zbiera żniwo i… przeprasza

Można powiedzieć, ze grupa ransomware-ów SamSam weszła w 2018 rok z przytupem. Trafiła bowiem kilka dość ważnych celów, takich jak szpitale, rada miejska czy firma ICS.

obejmują szpital Hancock Health Hospital w Greenfield w stanie Indiana, Adams Memorial Hospital w Decatur, gminę Farmington i kilka innych. Jak poinformował Bleeping Computer, szpital w Indianie zapłacił za odszyfrowanie plików po ataku 4 BTC, czyli 55000 dolarów. Straty finansowe to jedno, niestety na ataku ucierpieli również pacjenci, których operacje musiały zostać przełożone. Steve Long - dyrektor szpitala - powiedział, że ransomware zaszyfrowało ponad 1400 plików, tymczasowo zmieniając również nazwiska każdego z pacjentów na „I’m sorry”. Hakerzy dali szpitalowi siedem dni na zapłatę okupu, w przeciwnym razie wszystkie pliki pozostałyby zaszyfrowane. Dyrektor przyznał również, że szpital posiadał kopię zapasową, ale jej odtworzenie było mniej opłacalne z biznesowego punktu widzenia.

SamSam ransomware - krótka charakterystyka

SamSam znany jest również jako Samas, przy każdej infekcji wygląda inaczej. To niestandardowy szczep, który można zaliczyć do oszustw ukierunkowanych. Załoga SamSam zwykle skanuje Internet w poszukiwaniu komputerów z otwartymi lub słabo zabezpieczonymi portami RDP, które brutalnie wymuszają roznoszenie się na wiele komputerów. Treść i wygląd wiadomości zazwyczaj różnią się od siebie, w zależności od ofiary. Mimo to, na podstawie zrzutu ekranu udostępnionego przez radę miasta Farmington, można powiedzieć, że ta szczególna wersja SamSam, która wykorzystuje notatkę „0000-SORRY-FOR-FILES.html”, zainfekowała co najmniej osiem podmiotów od 26 grudnia. Większość ofiar pochodzi z USA, kilka z Kanady i Indii. Niektóre z nich zgłosiły pliki zaszyfrowane z rozszerzeniem .weapologize. Do podobnego ataku doszło w kwietniu ubiegłego roku. W 2017 roku ofiarą padł szpital w Nowym Jorku. Wtedy kwota okupu żądana przez przestępców wynosiła 44000 dolarów. W tamtym czasie szpital zdecydował się na odmowę zapłacenia okupu, a odbudowa informatycznej infrastruktury potrwała miesiąc.

Ransomware SamSam - jak zazwyczaj dochodzi do infekcji? 

Na początek rozsyłane są kampanie spamu z zainfekowanymi załącznikami lub narzędziami z rodziny Exploit Kit. Maile posiadają gotowe exploity na niezałatane rozszerzenia lub same przeglądarki. W tym przypadku luka okazała się słabo zabezpieczona. Właśnie dlatego malware zainfekował maszynę i rozprzestrzenił się na inne tuż po zalogowaniu użytkownika. Cyberprzestępcy za odszyfrowanie plików żądają od 0,7 aż do kilkudziecięciu BTC.

„Zapobiegać a nie leczyć” - ochrona przed ransomware 

Ochrona przed SamSam tak jak przed innym szkodliwym oprogramowaniem, sprowadza się do kilku dobrych praktyk, które zdecydowanie warto stosować:

• nie czekaj z aktualizacją systemu i oprogramowań - ich terminowe wdrażanie pozwoli Ci uniknąć możliwych luk i wrażliwych punktów
• backup, backup i jeszcze raz backup - regularnie twórz kopię zapasową kluczowych danych i przechowuj ją w bezpiecznym miejscu, przede wszystkim odseparowanym od reszty firmowej sieci
• white list - tworzenie białej listy bierz na poważnie, rozwiązanie, które bazuje m.in. na white list, traktuje wszystkie inne aplikacje jako niezaufane i potencjalnie szkodliwe
• segmentacja sieci i użytkowników - przydzielaj uprawnienia, twórz strefy bezpieczeństwa i stosuj autoryzację użytkowników
• edukacja i uświadamianie - uświadamiaj użytkowników sieci o możliwych scenariuszach zdarzeń i ich konsekwencjach, mów o aktualnych cyberzagrożeniach i stosowaniu socjotechniki